¿Pueden los hackers REALMENTE hacerse cargo de su automóvil?

Anuncio

Zubie es una pequeña caja que se conecta al Diagnóstico a bordo (ODBII) puerto encontrado en la mayoría de los automóviles modernos. Permite a los usuarios descubrir qué tan bien están conduciendo y ofrece consejos para extender su kilometraje con una conducción sensata y económica. Y hasta hace poco, Zubie contenía un lapso grave en seguridad que podría dejar a los usuarios vulnerables a que su automóvil sea secuestrado de forma remota.

El hoyo, descubierto por ex alumnos de la Unidad 8200, el equipo de ciberseguridad de élite de la Fuerza de Defensa de Israel, podría ver a los atacantes interferir de forma remota con el frenado, la dirección y el motor.

Zubie se conecta a un servidor remoto a través de una conexión GPRS, que se utiliza para enviar datos recopilados a un servidor central, así como para recibir actualizaciones de seguridad.

Los investigadores descubrieron que el dispositivo estaba cometiendo uno de los pecados capitales de la seguridad de la red y no se comunicaba con el servidor doméstico a través de una conexión cifrada. Como resultado, pudieron falsificar el servidor central de Zubie y enviar algún malware especialmente diseñado al dispositivo.

A continuación encontrará más detalles sobre el ataque, y le complacerá saber que el problema ya se ha solucionado. Sin embargo, plantea una pregunta interesante. ¿Qué tan seguros son nuestros autos?

Separando el hecho de la ficción

Para muchos, conducir no es un lujo. Es una necesidad

Y es una necesidad peligrosa en eso. La mayoría de las personas están muy familiarizadas con los riesgos asociados con ponerse al volante. Los accidentes automovilísticos son uno de los mayores asesinos del mundo, con 1,24 millones de vidas perdidas en la carretera solo en el año 2010.

Pero las muertes en carretera están disminuyendo, y eso se debe en gran medida a la mayor penetración de tecnologías sofisticadas de seguridad vial. Hay demasiados de estos para enumerarlos exhaustivamente, pero quizás el ejemplo más frecuente es OnStar, disponible en EE. UU., Canadá y China.

La tecnología, disponible exclusivamente en automóviles GM, así como en otros vehículos de compañías que han optado por licenciar la tecnología, monitorea la salud de su automóvil. Puede proporcionar instrucciones paso a paso y puede brindar asistencia automáticamente en caso de que se encuentre en un accidente.

Casi seis millones de personas se suscriben a OnStar. Innumerables más usan un sistema telemático, que permite a las aseguradoras rastrear qué tan bien se manejan los automóviles y adaptar los paquetes de seguros para recompensar a los conductores sensibles. Justin Dennis revisó recientemente algo similar llamado Metrónomo por Metromile Haga un seguimiento de su kilometraje, costos de combustible y más con un dispositivo OBD2 gratuitoHoy en día, todo parece ser inteligente, excepto nuestros automóviles. Este dispositivo y aplicación ODB2 gratuitos lo cambian. Lee mas , que está disponible gratuitamente para los residentes de Washington, Oregón, California e Illinois. Mientras tanto, muchos autos posteriores a 1998 pueden ser interrogados y monitoreados a través del Puerto de diagnóstico ODBII gracias a Android Cómo controlar el rendimiento de tu coche con AndroidMonitorear toneladas de información sobre su automóvil es increíblemente fácil y económico con su dispositivo Android: ¡aprenda sobre esto aquí! Lee mas y aplicaciones para teléfonos inteligentes iOS.

A medida que estas tecnologías han alcanzado la ubicuidad, también se tiene conciencia de que se pueden piratear. En ningún otro lugar es eso más evidente que en nuestra psique cultural.

los Novela de suspenso de 2008 Destacó un automóvil equipado con OnStar que fue "bloqueado" por el antagonista de la película para atraer a alguien a una trampa. Mientras que en 2009, la firma holandesa de TI InfoSupport lanzó una serie de comerciales que mostraban a un hacker ficticio llamado Max Cornellise hackear remotamente sistemas de automóviles, incluido un Porsche 911, usando solo su ordenador portátil.

Entonces, con tanta incertidumbre en torno al tema, es importante saber qué se puede hacer y qué amenazas permanecen en el dominio de la ciencia ficción.

¿Una breve historia de piratería de automóviles?

Fuera de Hollywood, los investigadores de seguridad han logrado algunas cosas bastante aterradoras con los automóviles.

En 2013, Charlie Miller y Chris Valasek demostró un ataque donde se comprometieron un Ford Escape y un Toyota Prius y lograron tomar el control de Las instalaciones de frenado y dirección. Sin embargo, este ataque tuvo un inconveniente importante, ya que dependía de que una computadora portátil se conectara al vehículo. Esto dejó a los investigadores de seguridad curiosos y preguntándose si era posible lograr lo mismo, pero sin estar físicamente atado al automóvil.

Esa pregunta fue respondida de manera concluyente un año después, cuando Miller y Valasek realizaron un estudio aún más detallado sobre la seguridad de 24 modelos diferentes de automóviles. Esta vez, se centraron en la capacidad de un atacante para realizar un ataque remoto. Su extensa investigación produjo un informe de 93 páginas, que fue publicado en Scribd para coincidir con su charla de seguimiento en la conferencia de seguridad Blackhat en Las Vegas.

Sugirió que nuestros autos no son tan seguros como se pensaba, y muchos carecen de las protecciones de ciberseguridad más rudimentarias. El informe condenatorio destacó que el Cadillac Escalade, el Jeep Cherokee y el Infiniti Q50 son los más vulnerables a un ataque remoto.

Cuando miramos el Infinity Q10 específicamente, vemos algunas fallas importantes en la seguridad.

Lo que hace que el Infiniti sea tan atractivo como un automóvil es también lo que lo hace tan vulnerable. Al igual que muchos automóviles de alta gama producidos en los últimos años, viene con una amplia gama de características tecnológicas diseñadas para hacer que la experiencia de conducción sea más agradable. Estos van desde el desbloqueo sin llave, hasta el monitoreo inalámbrico de la presión de los neumáticos, hasta la aplicación de teléfono inteligente "asistente personal" que interactúa con el automóvil.

Según Miller y Vlasek, algunas de estas características tecnológicas no están aisladas, sino que están directamente conectadas en red con los sistemas responsables del control del motor y el frenado. Esto deja abierta la posibilidad de que un atacante obtenga acceso a la red interna del automóvil, y luego explotar una vulnerabilidad ubicada en uno de los sistemas esenciales para bloquear o interferir con vehículo.

Cosas como el desbloqueo sin llave y los "asistentes personales" se están considerando rápidamente como elementos esenciales para conductores, pero como lo señaló Charlie Miller de manera tan destacada, "da un poco de miedo que todos puedan hablar con cada uno otro."

Pero todavía estamos mucho en el mundo de lo teórico. Miller y Vlasek han demostrado una posible vía para un ataque, pero no un ataque real. ¿Hay algún ejemplo de alguien que haya logrado interferir con los sistemas informáticos de un automóvil?

Bueno, no faltan los ataques que tienen como objetivo funciones de desbloqueo sin llave. Uno incluso fue demostrado a principios de este año en la Conferencia de Seguridad Blackhat en Las Vegas por el investigador de seguridad australiano Silvio Cesare.

Usando solo $ 1000 en herramientas listas para usar, pudo falsificar la señal de un llavero, lo que le permitió desbloquear un automóvil de forma remota. El ataque depende de que alguien esté físicamente presente cerca del automóvil, potencialmente durante unas horas, como un una computadora y una transmisión de antena de radio intentan forzar al receptor integrado en el desbloqueo sin llave de un automóvil sistema.

Una vez que se ha abierto el automóvil, el atacante podría intentar robarlo o ayudar a cualquier elemento desatendido que haya dejado el conductor. Hay mucho potencial de daño aquí.

¿Hay alguna defensa?

Eso depende.

Ya existe alguna forma de protección contra la vulnerabilidad de acceso remoto descubierta por Charlie Miller y Chris Valasek. En los meses transcurridos desde su charla Blackhat, han sido capaz de construir un dispositivo actúa como un sistema de detección de intrusos (IDS). Esto no detiene un ataque, sino que le indica al conductor cuándo podría estar en curso un ataque. Esto cuesta alrededor de $ 150 en partes, y requiere un poco de conocimiento de electrónica para construir.

La vulnerabilidad de Zubie es un poco más complicada. Aunque el agujero ya ha sido reparado, la debilidad no se encontraba dentro del automóvil, sino dentro del dispositivo de terceros que estaba conectado a él. Si bien los automóviles tienen sus propias inseguridades arquitectónicas, parece que agregar extras adicionales solo aumenta las posibles vías para un ataque.

Quizás la única forma de ser verdaderamente seguro es conducir un auto viejo. Uno que carece de las sofisticadas campanas y silbatos de los autos modernos de alta gama, y ​​para resistir el impulso de meter cosas en su puerto ODBII. Hay seguridad en la simplicidad.

¿Es seguro conducir mi automóvil?

La seguridad es un proceso evolutivo.

A medida que las personas adquieren una mayor comprensión de las amenazas que rodean a un sistema, el sistema evoluciona para protegerse contra ellas. Pero el mundo del automóvil aún no ha tenido su Neurosis de guerra ¿Peor que sangrado? Conozca ShellShock: una nueva amenaza de seguridad para OS X y Linux Lee mas o HeartBleed Heartbleed: ¿qué puede hacer para mantenerse a salvo? Lee mas . Me imagino que cuando experimenta su primera amenaza crítica, es el primer día cero, por así decirlo, Los fabricantes de automóviles responderán adecuadamente y tomarán medidas para hacer que la seguridad del vehículo sea un poco más riguroso.

Pero ¿qué piensas? ¿Eso es un poco optimista? ¿Te preocupa que los hackers se hagan cargo de tu auto? Quiero oír hablar de eso. Déjame un comentario a continuación.

Créditos fotográficos: BangkokFelicidad (Shutterstock), DmitriMaruta (ShutterStock), Teddy Leung / Shutterstock.com